> 2009/7/21 max <[email protected]> >> >> > 2009/7/21 Herbert Faleiros <[email protected]> >> >> >> >> On Monday 20 July 2009 23:59:21 Daniel Gariani Rafael wrote: >> >> > "tenho algo semelhante implementado aqui em alguns servidores", nao >> >> > teria >> >> > como voce me passar a parte referente ao conectividade que você tem >> >> > no >> >> > seu >> >> > servidor? Ainda estou apanhando aqui. >> >> >> >> é só colocar aquela regra antes do seu intercept do Squid (dnat ou >> >> redirect), >> >> aqui não tenho nada usando RFC1918, então não tenho algo implementando >> >> exatamente o seu case, mas o bypass funciona daquela maneira. >> >> >> >> Se quiser, mande a sua tabela nat que tento ver como pode implementar >> >> melhor >> >> isso. >> >> >> >> -- >> >> Herbert >> >> >> 2009/7/21 Daniel Gariani Rafael <[email protected]>: >> > Eai pessoal. >> > >> > Bem, primeiro, acabei esquecendo de comentar, mas estou usando o proxy >> > autenticado, ai que esta me matando, porque não sei se preciso usar a >> > regra >> > que direciona para 3128... ou se precisa... >> > >> > Quanto ao firewall, eu enviaria, mas a unica coisa que tem nele eh as >> > tentativas que estou tentando com o site da caixa, nao tem nada nele. >> > >> > Bem, a cada dia me sinto mais perdido com o iptables, mesmo lendo as >> > doc. >> > >> > Abraços. >> >> Bom, se o proxy é autenticado e tu usa o Squid como proxy, não pode >> redirecionar. Tem que configurar o navegador para usar o proxy e >> fornecer usuário e senah quando solicitado (é uma limitação do Squid, >> ele não pode fazer proxy transparente e exigir autenticação). >> >> Mas como falei antes, sem saber as tuas outras regras não tem muito >> que alguém possa fazer por ti senão dar palpites. >> >> Qual a saida do iptables-save? >>
2009/7/21 Daniel Gariani Rafael <[email protected]>: > Boa noite. > > Então, andei seguindo o que foi dito, outras, pegando na internet, e saiu > isso. Nao sei se o script esta limpo, digo, se tem regras que não precisa > ter, etc... o importante é que esta funcionando, depois, analiso com mais > cuidado e vou fazendo a limpeza necessária. > > > echo 1 > /proc/sys/net/ipv4/ip_forward > > iptables -t nat -A POSTROUTING -s 192.168.2.0/24 -j MASQUERADE > > iptables -t nat -A PREROUTING -d 200.201.166.0/24 -p tcp -j ACCEPT > iptables -t nat -A PREROUTING -d 200.201.173.0/24 -p tcp -j ACCEPT > iptables -t nat -A PREROUTING -d 200.201.174.0/24 -p tcp -j ACCEPT > iptables -t nat -A PREROUTING -d 200.201.162.0/24 -p tcp -j ACCEPT > > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.166.0/24 -p tcp -j ACCEPT > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.173.0/24 -p tcp -j ACCEPT > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.174.0/24 -p tcp -j ACCEPT > iptables -A FORWARD -s 192.168.2.0/24 -d 200.201.162.0/24 -p tcp -j ACCEPT > > iptables -t nat -A PREROUTING -s 192.168.2.0/24 -d ! 200.201.0.0/16 -p tcp > --dport 80 -j REDIRECT --to-port 3128 > > O que estou me deparando agora é quando tento acessar o cliente java, > especifico o certificado/senha e retorna a mensagem "Falha ao receber > mensagem de troca de chaves do Gateway" > > Alguém já passou por isso? > > Att. > > Daniel Gariani Rafael As regras estão certas, com exceção da última que *não* deveria existir porque o teu proxy não é transparente. Sobre o problema do certificado, usa o tcpdump no firewall para entender o que está acontecendo com os pacotes. Há também uma segunda possibilidade: eu lembro que o conectividade social tinha problemas se a JVM usada era da Sun, para funcionar direito tinha que usar a JVM da Microsoft que por sinal foi descontinuada e com ajuda do google tu podia encontrar uma versão para download nos servidores de conteudo estático da CEF (ou seria do BB? eu não lembro...) Mas duvido que esta última opção ainda seja válida, faz tanto tempo... --~--~---------~--~----~------------~-------~--~----~ GUS-BR - Grupo de Usuários de Slackware Brasil http://www.slackwarebrasil.org/ http://groups.google.com/group/slack-users-br Antes de perguntar: http://www.istf.com.br/perguntas/ Para sair da lista envie um e-mail para: [email protected] -~----------~----~----~----~------~----~------~--~---
